Brain-Media.de/Compliance-Lexikon/Internal Audit
Ebene 1 · DefinitionEbene 2 · PraxisEbene 3 · Strategie

Compliance-Lexikon · Audit

Internal Audit

[ɪnˈt&ɜːnl ˈɔːdɪt] · auch: Interne Revision, Interne Prüfung

Internal Audit bezeichnet die unabhängige, objektive Prüfungs- und Beratungstätigkeit innerhalb einer Organisation, die darauf abzielt, Mehrwert zu schaffen und die Effizienz der Governance-, Risikomanagement- und Kontrollprozesse zu verbessern.

Warum Internal Audit die dritte Verteidigungslinie bildet

Das interne Audit ist die Instanz, die ein Compliance-Programm von innen bewertet – unabhängig vom operativen Betrieb. Ohne interne Prüfung fehlt der Feedback-Kreislauf: Die Organisation weiß nicht, ob ihre Kontrollen funktionieren, bis ein externer Auditor Fehler identifiziert. Das interne Audit schließt diese Lücke und ermöglicht kontinuierliche Verbesserung.

Wo Internal Audit gefordert wird

FrameworkReferenzAnforderung
ISO 27001:2022Kap. 9.2Interne Audits müssen in geplanten Abständen durchgeführt werden, um festzustellen, ob das ISMS konform und wirksam ist.
NIS-2 / BSIG§ 30 Abs. 3Regelmäßige interne und externe Prüfungen der Sicherheitsmaßnahmen sind verpflichtend.
DORAArt. 6 Abs. 6Finanzunternehmen müssen unabhängige interne Audit-Funktionen für IKT-Risiken vorhalten.
IIA StandardsStd. 2010 ff.Der internationale Berufsrahmen des IIA definiert Anforderungen an Planung, Durchführung und Berichterstattung interner Audits.

BAM-Objektreferenz

BAM-Objekt CROSS-IA-01
BeschreibungInternes Auditprogramm mit Jahresplan, Auditberichten und Nachverfolgung von Findings
GitHubBAM Core →

Häufige Audit-Fehler

  • Kein Jahres-Auditplan vorhanden oder nicht eingehalten
  • Auditoren prüfen eigene Arbeitsgebiete – fehlende Unabhängigkeit
  • Auditberichte sind vorhanden, Findings werden aber nicht nachverfolgt
  • ISMS wird nicht als Gegenstand des internen Audits behandelt

Internal Audit vs. externes Audit

Das interne Audit wird von Angehörigen der Organisation (oder beauftragten Dritten) durchgeführt und dient primär dem Management als Steuerungsinstrument. Das externe Audit wird von unabhängigen Dritten (Wirtschaftsprüfer, Zertifizierungsstellen, Behörden) durchgeführt und dient der externen Rechenschaftspflicht. Beide haben unterschiedliche Ziele, ergänzen sich aber: Ein gut funktionierendes internes Auditprogramm verbessert die Ergebnisse externer Audits.

Nächste Ebene

Internes Audit aufbauen: Jahresplan, Durchführung, Berichte

Wie ein internes Auditprogramm strukturiert wird, was ISMS-Auditoren prüfen und welche Evidence nötig ist.

Verwandte Begriffe

Control TestingMaturity ModelISMS

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.

Stresstest starten Whitepaper